如何从服务控制器隐藏设备驱动程序?

时间:2013-08-01 01:07:56

标签: c windows drivers

我正在编写游戏黑客,并希望在游戏运行时运行作弊引擎,反黑客攻击当前检测用户模式和内核模式组件并终止游戏。我编写了一个设备驱动程序来挂钩ZwQuerySystemInformation来隐藏进程。我也想隐藏设备驱动程序,因为它目前仍然被检测到。我知道我可以用DKOM做这个但是id更喜欢使用SSDT钩子,有没有人知道我应该挂钩来过滤服务/驱动程序列表?

1 个答案:

答案 0 :(得分:0)

您可以从头到尾阅读本文,并使用其提供的代码并对其进行自定义以满足您的需求:http://www.codeproject.com/Articles/46670/Service-Hiding

建议,如果你不知道自己在做什么,最好不要使用这些东西。

另一方面,他们倾向于过度复杂化他们的架构和编译过程,所以期待一些小问题,因为它不会是简单的解决方案。但是,这应该解决并解决您的问题和需求。

编辑:

您需要挂钩服务API,该API负责向您显示计算机上当前正在运行的服务。这方面的一个例子是“services.exe”,这是您需要修改/更改以正确隐藏驱动程序的所有数据结构。具体而言,SERVICE_RECORD结构和以下成员也需要修改:PrevNextServiceName。一旦你在services.exe内找到了这样的结构,它就会回到基本算法101.这就是要删除你想要隐藏的那些双向链表所需的驱动程序。以下图片由前面提到的文章提供。

enter image description here

这是隐藏服务背后的基本或一般规则。